„Privacy Shield“ berechtigt nicht zur Datenübertragung in die USA
Urteil des Europäischen Gerichtshofs vom 16.07.2020, Az. C-311/18
Hintergrund des „Privacy-Shield“-Urteils war eine Beschwerde eines Datenschutzaktivisten, der vor dem EuGH beanstandete, dass seine Daten auf einer Social Media-Website an den Mutterkonzern in den USA weitergeleitet wurden. In den USA wäre der Konzern verpflichtet, die Daten unter anderem der NSA und dem FBI zugänglich zu machen – und das, ohne dass die Betroffenen einschreiten könnten.
Kern des Streites war generell die Zulässigkeit des Transfers personenbezogener Daten von europäischen Kunden der Social Media-Website in die USA. Dieser Transfer wurde im konkreten Fall über EU-Standardvertragsklauseln abgesichert.
Trotzdem wurde auch das Datenschutzabkommen „Privacy Shield“ [1], das zwischen der EU-Kommission und der USA verhandelt wurde, beleuchtet und gefragt, ob dieses dem europäischen Datenschutzniveau gerecht werde. Zum anderen wurde auch die Gültigkeit des Beschlusses bzgl. Standardvertragsklauseln[2] überprüft.
Das „Privacy-Shield“ Abkommen umfasst über 4.000 US-amerikanische Unternehmen, die sich darunter haben zertifizieren lassen. Dies erlaubt es deren Geschäftspartnern in der EU, personenbezogene Daten (wie Arbeitnehmerdaten oder Verbraucherdaten) an diese zertifizierten Unternehmen in den USA zu übermitteln. Allerdings ist damit nicht das Datenschutzniveau der USA insgesamt als angemessen zu betrachten, sondern nur das der zertifizierten Unternehmen.
Relevanz des Urteils für KMU
Unternehmen, die personenbezogene Daten aus der EU in die USA übertragen, müssen ein den europäischen Vorgaben angemessenes Datenschutzniveau gewährleisten. Auch wenn das Unternehmen US-Dienste nur zur Arbeitsunterstützung (wie z.B. Office-Standardprogramme oder Videokonferenzanbieter) verwendet hat, muss geprüft werden, ob diese weiter datenschutzkonform eingesetzt werden können.
Entscheidungsgründe des EuGH
Der EuGH entschied, dass das „Privacy-Shield“ Abkommen kein angemessenes Datenschutzniveau gewährleiste und damit ungültig ist. Die US-Behörden haben trotz dessen einen noch zu weitreichenden Zugriff auf die Daten, was nicht den europäischen Anforderungen an den Datenschutz entspricht.
Zudem sei der Rechtsschutz für Betroffene nur unzureichend gewährleistet. Zwar könne man Ombudspersonen (eine unparteiische Schiedsperson) einsetzten, die die Rechte der Betroffenen gegenüber den US-Behörden wahrnehmen, aber deren Unabhängigkeit ist nicht überprüfbar.
Stattdessen können sich Unternehmen, die Daten an US-amerikanische Unternehmen übertragen wollen, der EU-Standardvertragsklauseln bedienen – denn diese, so der EuGH, sind unbedenklich. Dennoch muss auch hier überprüft werden, ob das Schutzniveau des Empfangslandes dem der EU entspricht (d.h. den Grundsätzen der DSGVO und der Grundrechtecharta). Es sei Sache der Beteiligten, das Schutzniveau der DSGVO zu gewährleisten.
Praxishinweis
Sofern sich Ihr Unternehmen eines US-Anbieters bedient, der allein auf das „Privacy-Shield“ gesetzt hat, besteht Handlungsbedarf, wenn Sie sich nicht der Gefahr eines Bußgeldes aussetzen wollen. Der Datentransfer muss sofort gestoppt werden und die Datenschutzerklärung angepasst werden. Es muss auf andere Weise ein angemessenes Datenschutzniveau hergestellt werden, wie etwa durch EU-Standardvertragsklauseln. Unter Umständen muss auf europäische Diensteanbieter gewechselt werden.
Quellen und weiterführende Inhalte
- Durchführungsbeschluss (EU) 2016/1250.
- Beschluss 2010/87/EU.
- Das Urteil des EuGH wird gemeinsam mit weiteren relevanten Entscheidungen von Prof. Dr. Dagmar Gesmann-Nuissl ausführlich in der Zeitschrift für Innovations-und Technikrecht (InTeR), Heft 03/2020, Seiten 154-167, besprochen.
